Университет Монаш поступил 130 000 пользователей в многофакторной проверки подлинности в прошлом году после мишенью молчаливый библиотекарь фишинг-атаки, которые обрушились сотни университетов по всему миру.

Фишинг-атаки, обвинили иранских хакеров, забил более 30 Тбайт от “144 американских университетов [и] 176 университетов 21 страны мира”, американская прокуратура заявила в прошлом году.

PhishLabs, который провел два года отслеживания угроз, заявил, что университет Монаш был повторный целевой.

“Университет Монаш, находящегося в Австралии, был популярным молчаливый библиотекарь цель”, – сказал он.

“Университет были направлены более двух десятков раз группой с начала 2017 года”.

Нападавшие использовали хитрость, что исследователь “библиотека” счета истекает для того, чтобы получить свои учетные данные- ведет к ‘тихая библиотекарша имя.

Архитектор решений Эндрю Коллинз и систем инженер Кэмерон Дак сказали недавней конференции Oktane19 Окта, что атак и кибер-угроз безопасности, как правило, – возил руководителей университета в спине при подъеме аутентификации.

“Наш ИТ-директор увидел некоторые выпады, что мы были под как молчаливый библиотекарь атаки, и он смог выдвинуть требование [для Лучше системы] обратно вверх по дереву,” Дак сказал.

Монаш был используя службами Федерации Active (ADFS) для единого входа (SSO) для приложений и ИТ-сервисов, как электронная почта. Вызов было сделано, чтобы двигаться от ADFS в пользу Окта.

Коллинз сказал, что переход был разбит на “три управляемые фазы”.

Работы начались в мае прошлого года и Университета срезать Окта на 28 июня.

“Наш первый этап интеграции Окта с ADFS”, – сказал Коллинз. “Наша второй этап перенести все наши приложения с помощью служб ADFS на Окта.

“Наш последний этап был выкатить МИД в нашей организации, и это будет одним из наших самых больших проблем.”

Первый этап работы, в конечном итоге, вылилось в университет представить пользователям страницу входа Окта вместо страницы ADFS входа.

Цель инструкции по аутентификации пользователей (общались в пакетах под названием “ассерт”) будет обрабатываться Окта.

“Мы должны убедиться, что Окта будет проходить через все атрибуты, что ADFS потребуется для создания какого-либо утверждения для любого приложения, и мы должны убедиться, что ADFS бы теперь взять эти новые атрибуты, а не тех, кто приехал непосредственно из ad [активный каталог],” Дак сказал.

После этого работал в университете начали движение механизм проверки подлинности заявок от ADFS для Окта.

Коллинз отметил, что это было особенно много времени, найти контактную информацию для владельцев приложений, а затем заставить их совершить, чтобы перенести часть проверки подлинности приложений.

“Мы создали расписание миграции, которая состояла из 20 окон в течение 34-дневного срока тогда владельцам приложений выбран один из этих окон, когда они собирались мигрировать”, – сказал он.

“Мы завершили это примерно 10 заявок в эти окна, тогда мы могли бы сосредоточиться только на переходе в это окно.”

Коллинз сказал, что Монаш был “в состоянии предварительной стадии все наши приложения в Окта до переноса окон”.

“Это позволило нам затем отправить метаданные и файлы конфигурации для пользователя, чтобы они потом могли разобраться, что им нужно изменить”, – сказал он.

Владельцы приложения также дали среде QA для выполнения сквозных тестов, чтобы “заставить их чувствовать себя очень комфортно” на время миграции опомнились.

Еще, запланировав изменение оказалось довольно сложно, тем более, что не все приложения в университете были хорошо документированы.

“У нас было довольно много приложений, которые были очень старые, очень рукописными и очень ужасно, и что никто не знал, как они были настроены,” Дак сказал.

“У нас были люди, того, чтобы идти и работать, как проверка подлинности приложения работали, и мы должны пойти и помочь [владельцев] как изменить эти приложения снова.”

Развертывание МИД

На данный момент, университет, наконец, смог решить многофакторную проверку подлинности (MFA).

“В начале куска, мы обнаружили, что не было изящного способа введения МИД к нашей организации, поэтому мы придумали эту идею, чтобы создать опт-в разделе,” сказал Коллинз.

“Это была страница, на которой пользователь может перейти и выбрать в МИД в удобное для них время.

“Только представьте себе, выкатывает МИД в тысячи или 10 000 человек одновременно. Они могли бы иметь презентацию делать или студент мог бы отправить поручение”.

Опт-в разделе было жить полмесяца перед использованием МФА было исполнено.

“Катали мы это в несколько этапов через наш факультетов и пачками студентов”, – сказал Коллинз.

“Пока мы катились на это, мы убедились, что все наши механизмы поддержки были на месте, так что у нас были люди, идущие вокруг, помогая людям подписаться на МИД.

“Когда кто-то звонил в службу поддержки, они также помогли им зарегистрироваться на МИД.”

Несколько вариантов для второго фактора.

“Факторы, которые мы пошли с окта проверить с нажимом, аутентификация Google, Yubico OTP, и универсал второго фактора (U2F),” Дак сказал.

По умолчанию все пользователи получают Окта проверить и факторы аутентификации Google.

“Мы приняли убедитесь, потому что это очень легко, чтобы зарегистрироваться – просто отсканируйте QR-код и вперед,” Дак сказал.

“Аутентификация Google был включен потому что у нас есть база пользователей, которые не изменяются на протяжении их телефоны очень часто и могут иметь очень старых операционных систем, некоторые настолько старые, что Окта проверить не смогу работать на них. Мы также использовали его как резервный код, потому что в настоящее время Окта проверить не восстановить, когда вы меняете телефон, в то время как некоторые приложения проверки подлинности делать.

“В U2F фактор является очень простым в использовании другой фактор – вы подключите свой ключ в сторону свой ноутбук, нужно нажать кнопку и ты в игре.

“Но мы вновь столкнулись с парой проблем. Наш VPN не поддерживает U2F как и у некоторых браузерах, так что для пользователей, у которых не было телефона, мы предоставили им с Yubikey и использовать одноразовый пароль (OTP) фактор”.

Дак, в частности, отметил отсутствие вопросов безопасности и SMS/голос в качестве фактора аутентификации.

“Это потому, что вопросы безопасности очень легко обойти, социально инженера [доступ к] ответы, а для SMS/голос его также легко для человека, который пытается войти в аккаунт, чтобы позвонить по номеру телефона компании и убедить их перенести свой номер к своей SIM, в этом случае они будут получать SMS-сообщение, чтобы дать им код, чтобы войти в свой аккаунт”, – сказал он.

Крайние случаи

Количество факторов-это отчасти признание того, что не в каждой ситуации проверки подлинности в университете очень просто.

Дак говорит, что возникло несколько “особых случаев” и должна быть рассмотрена.

Некоторые учетные записи, например, для приемной – были общими для нескольких пользователей. “На эти счета мы использовали аутентификация Google, потому что вы можете зарегистрировать несколько устройств на одной учетной записи,” сказал он.

Другая сложность возникла для старших сотрудников с административными помощниками (советниками).

“К сожалению, некоторые наши приложения не позволяют делегировать задачи, поэтому для советников, чтобы делать свою работу, они нужны для входа на сайт, как их босс,” сказал Дак.

“В тех случаях, старший сотрудник записаться Окта проверить на своем телефоне, и тогда мы бы создали Yubikey и дать помощника, так что, когда им нужно войти в систему в качестве их босса, они могли бы сделать это.”

Как научно-исследовательское учреждение, университет ран в лабораторных условиях, не позволял телефон или даже Yubikeys привозят, из-за страха загрязнения.

“В этих случаях мы настраиваем сетевую зону, что говорит, ‘все станки, которые в эти лаборатории не нужно МИД. Неважно, кто войдет в них.

“Мы считаем, что замок на двери в лабораторию [как] второй фактор,” Дак сказал.

Другой особый случай-использование электронных экзаменов. Дак говорит, что в другой сети зоны был построен так, что студенты, зайдя на экзамен-при условии, ноутбуки не нужно использовать MFA.

Этот вариант использования может стать более сложным в будущем, поскольку университет исследует, позволяя устройства BYOD используются для завершения экзаменов.

“Мы смотрим позже в этом году, чтобы быть в состоянии сделать BYOD для сдачи экзаменов, и я уверен, что это будет другой разговор с командой, чтобы понять, что нам нужно сделать для них,” сказала утка.

Политика-установка ССО

Когда пользователь входит в МИД на свой ноутбук, они имеют возможность выбрать, а не спрашивать меня снова на этом устройстве функция.

“Они также имеют длительный сеанс жизни, так что в худшем случае, они должны войти два раза в день, если они работают 24 часа в сутки”, – сказал утка.

Он отметил, что ученые, сотрудники и студенты часто ездили в их работе.

“Итак, мы установили политику, что говорит сначала войти с новой страной, в очередной раз, вы должны МИД”, – сказал он.

“Поэтому, когда я приземлился здесь, в Сан-Франциско [на конференции], хотя это был мой ноутбук я бы флажок раньше, я еще была в МИД, потому что это была новая страна, и я буду в МИД снова, когда я вернусь домой в Австралию.”

Если пользователь входит в корпоративную VPN, они должны пройти проверку подлинности с помощью MFA каждый раз.

“Потому что VPN-это хорошая точка доступа в нашу сеть, мы убедились, что вы должны МИД каждый раз, когда вы VPN В, потому что мы хотим убедиться, что люди в нашей сети должны быть на нашей сети”, – сказал утка.

Ограничительные элементы управления находятся также в месте для привилегированных учетных записей.

“Например, все наши админы Окта разрешается использовать U2F-токена в качестве второго фактора – нет Окта проверить или что-то подобное – и у них очень короткая длина сессии,” Дак сказал.

“Мы хотели убедиться, что наши учетные записи, которые имеют доступ также имеют высокий уровень безопасности на них”.

Распределение Yubikey для

В Yubikeys для МИД якобы для пользователей, которые не имеют телефона, но одним из основных вариантов использования в тех случаях, когда пользователи не имеют телефон, но не хотите запустить Окта проверить приложение на нем.

“Одна из самых неприятных вещей людям, которые не хотят использовать свои личные устройства для МИД”, – сказал Коллинз.

“Наше решение это было снабжать их устройство Yubikey и укрепите дальше.

“Это работает в большинстве случаев, за исключением, когда они хотели сказать, доступ к электронной почте на своем телефоне, и он не поддерживает USB.”

Дак сказал, что в университете есть “около 2000 ключей в дикой природе из 130,000 зарегистрированных пользователей” в МИД.

Потерянные или обновленные телефоны

Университет также работает над функцией резервного копирования, что позволит пользователям изменять свои трубки, не влияя на их способность использовать его на МИД.

“Количество людей, которые либо потеряли свои телефоны или поврежден или обновили свои телефоны, мы получали около 1000 из них в неделю”, – сказал Коллинз.

“Потому что мы не Выберите SMS [фактора], это было не так просто, как с СМС из одного телефона и положить в другой, а затем они продолжают делать МИД – пришлось звонить в Службу поддержки.

“Поэтому на данный момент мы работаем над функцией резервного копирования. Это сайт, который пользователи могут перейти на, зарегистрироваться на 10 одноразовых резервных кодов, и магазин, который благополучно в личном хранилище или куда угодно, и когда им нужно сбросить их телефон, они могут вернуться на сайт и войти в свой одноразовый код и сбросить свой фактор”.

Дак отметил, что после того, как один раз были сгенерированы коды, пользователи могут хранить их в хранилище, напишите сами коды (не Монаша адрес), распечатывать коды или сохранять их в текстовый файл.

Запишется

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here